Resumen
del Reglamento de Desarrollo de la LOPD (RDLOPD) de 21 de Diciembre de
2007 para el Responsable de Ficheros
- Resumen
del Reglamento de Desarrollo de la LOPD (RDLOPD) de 21 de Diciembre de
2007 para el Responsable de Ficheros- Introducción
- El Responsable del
fichero - El
Encargado del fichero - ¿Cómo
saber si se van a tratar datos personales? - La
Agencia de Protección de Datos - Notificación
de ficheros al Registro - Requisitos
Ámbito Privado - Requisitos
Ámbito Público: - Recogida
datos. Obligación de informar - Medidas
de Seguridad - Sanciones
- Deber
de colaborar con la AEPD - Respuestas
a preguntas frecuentes - Conclusiones
- Referencias
- La
LOPD, Ley orgánica 15/1999, de 13 de diciembre (1999): - La
LSSI, Ley 34/2002, de 11 de julio (2002), http://www.lssi.es - La
LGT, Ley 32/2003, de 3 de noviembre (2003) - RDLOPD.
de 21 de Diciembre de 2007 - AGPD
- AGPD (Comunidad de Madrid)
- Consulta
de ficheros inscritos en la AGPD - Otros
enlaces de interés - Ejemplo
con información sobre las implicaciones de la LOPD para los
proveedores de servicio de HOSTING (e.g.: Acens):
- La
Introducción
En este
tutorial vamos a presentar un resumen de los cambios del Reglamento de
Desarrollo de la LOPD que entraron en vigor el 19 de Abril 2008, y
cómo afectan al Responsable de Ficheros.
Los
datos personales se encuentran regidos actualmente por 3 leyes:
- La LOPD, Ley orgánica
15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal, está vigente desde el
año 2000. La Ley
tiene por objeto garantizar y proteger las libertades
públicas y los
derechos fundamentales de las personas físicas, de su honor
e
intimidad, en relación al tratamiento de sus datos
personales. El
espíritu de la ley se basa en el derecho a la
protección de datos de
carácter personal.
La LOPD establece las
obligaciones de los responsables de ficheros y los
encargados de los tratamientos deben cumplir, tanto en organismos
públicos como privados, para garantizar el derecho a la
protección de
los datos personales. - La LGT, Ley 32/2003, de 3 de
noviembre, General de Telecomunicaciones. - La LSSI, Ley 34/2002, de 11 de
julio, de Servicios de la Sociedad de la
Información y de Comercio Electrónico, que
atribuyen a la AEPD (Agencia
Española de Protección de Datos) la tutela de los
derechos y garantías
de abonados y usuarios en el ámbito de las comunicaciones
electrónicas
(correos electrónicos).
El
reglamento de desarrollo de la LOPD (RDLOPD) ha venido a clarificar
ciertos aspectos de la LOPD que dejaban lagunas de
interpretación. Entró en vigor el 19 de abril de 2008
para todos los nuevos ficheros y tratamientos realizados a partir de
esa fecha, y propone una moratoria o régimen de
transición de 12 meses para la adaptación de los
ficheros y tratamientos automatizados preexistentes.
Algunas
de las novedades más destacadas de la ley son:
- Se
regulan los datos personales relativos a los fallecidos - Los
datos de empresarios individuales no estarán sometidos a la
LOPD para uso profesional. - Los datos de contacto de
las personas físicas no estarán sometidos a la
LOPD para uso profesional. - El tratamiento
regulado debe ser en territorio español. - Subcontratación
del servicio de tratamiento de los datos por parte del Responsable del
fichero. - Simplicidad en el ejercicio de los
derechos y gratuidad de los mismos. - Tratamiento
específico para ficheros de solvencia patrimonial y ficheros
con fines publicitarios (ficheros de exclusión). - Regulación
de la transferencia de datos internacionales - Regulación
de la cesión de datos personales de los menores de edad
(<14 años y >=14 años)
La
LOPD define dos roles básicos: el Responsable de Ficheros y
el Encargado del Tratamiento.
El Responsable del
fichero
El responsable de un fichero o tratamiento
es la entidad, persona u órgano administrativo que decide
sobre la finalidad, el contenido y el uso del tratamiento de los datos
personales. Ejemplos:
- Una empresa
será la responsable de los ficheros que contienen datos
sobre sus empleados y clientes. - Un
autónomo o empresario individual será responsable
del tratamiento de los datos personales de sus clientes - Un
Ayuntamiento será responsable del fichero del
padrón
Un responsable tiene
las siguientes obligaciones:
- Notificar la
inscripción de los ficheros en el Registro de la AEPD - Asegurar
que los datos son de calidad, es decir, adecuados, veraces y obtenidos
lícita y legítimamente, y tratados de forma
proporcional a la finalidad con la que se recogieron: no usarlos para
otros fines, no recoger más datos de los necesarios,
mantenerlos actualizados, y cancelarlos si ya no son necesarios. - Garantizar
el cumplimiento de los deberes secreto y seguridad. - Informar
a los titulares de los datos sobre la recogida de los mismos. - Obtener
el consentimiento para el tratamiento de los mismos. - Facilitar
y garantizar el ejercicio de los derechos de oposición al
tratamiento, acceso, rectificación y cancelación. - Asegurar
que en relaciones con terceros que le presten servicios que necesiten
el acceso a los datos, se siga cumpliendo lo dispuesto en la LOPD. - Cumplir,
adicionalmente, con lo que indique la legislación vigente en
el sector correspondiente que le sea de aplicación.
El
Encargado del fichero
El encargado del fichero o
tratamiento es la persona física o jurídica,
pública o privada, u órgano administrativo que,
sólo o junto a otros, trate datos de carácter
personal por cuenta del Responsable
del fichero, gracias a la existencia de un contrato de
servicios que define el ámbito de actuación y la
prestación del servicio. Ejemplos:
- Una
empresa que presta servicios para la realización de
envíos postales - Un
informático, autónomo, que realiza tareas de
mantenimiento software sobre el fichero de datos del responsable. - Un
gestor administrativo que confecciona las nóminas y gestiona
el fichero de personal.
No se considera
encargado del fichero, a la persona física que tenga acceso
a los datos personales, si tiene condición de empleado
dentro de la relación laboral que mantiene con el
responsable del fichero.
Tanto el Responsable del
fichero como el Encargado del tratamiento, pueden ser sancionados si no
cumplen con sus obligaciones.
¿Cómo
saber si se van a tratar datos personales?
Siempre
que en un formulario, o de alguna forma se recojan datos personales que
permitan identificar una persona directa o indirectamente, como por
ejemplo:
- Nombre
- Apellidos
- Fecha
nacimiento - Dirección postal
- Dirección
correo electrónico - Número de
teléfono - NIF, huella digital, ADN o
número de Seguridad Social - Fotografía
En
estos casos, se están tratando datos personales y se deben
cumplir las obligaciones de la LOPD. Ejemplos:
- Una
persona que abre una cuenta bancaria - Se apunta en
un gimnasio - Se registra en un hotel, etc.
Se
exceptúan aquellos casos en los que el uso de los datos sea
para una actividad personal o doméstica (Ej: agenda personal)
- Ficheros
mantenidos por personas físicas para actividades personales
o domésticas (Ej: agenda personal) - Ficheros
sometidos a normativa sobre protección de materias
clasificadas. - Ficheros establecidos para la
investigación del terrorismo y delincuencia organizada.
Existen
casos en los que la LOPD indica que se aplicarán
disposiciones específicas:
- Ficheros
regulados por la legislación de régimen
electoral, y ficheros estadísticos. - Ficheros
derivados del Registro Civil y Registro central de penados. - Ficheros
de imágenes y sonidos obtenidos por videocámaras
de las Fuerzas y Cuerpos de Seguridad.
La
Agencia de Protección de Datos
La Agencia
Española de Protección de Datos (AEPD) protege
los derechos de los ciudadanos, es el ente encargado de velar por el
cumplimiento de la normativa, y actúa de forma totalmente
independiente de las Administraciones Públicas.
La
AEPD informa y ayuda, tanto a los ciudadanos como los responsables de
fichero y encargados de tratamiento a ejercitar y a cumplir las
obligaciones correspondientes en cada caso.
La AEPD
facilita el derecho de consulta de los ciudadanos permitiendo acceder a
la información básica de todos los ficheros
públicos y privados registrados.
Además
la AEPD realiza, de forma preventiva, inspecciones sectoriales de oficio,
para evaluar el cumplimiento de todas las garantías
previstas en la normativa, detectando deficiencias y formulando
recomendaciones para su corrección. (www.agpd.es)
Notificación
de ficheros al Registro
El Responsable del fichero
debe notificar la creación del fichero al Registro General
de Protección de Datos (RGPD) de la AEPD, en los siguientes
casos:
- Con anterioridad al uso del fichero
- Cuando
se producen cambios en el mismo que afectan al registro - Cuando
cesa el uso del fichero
Al registrar el
fichero, implica que el fichero cumple con todas las exigencias
legales. El coste de registro es gratuito, y permite que los titulares
de los datos puedan conocer quién es el responsable del
fichero, por si necesitan ejercitar sus derechos de acceso,
rectificación, cancelación y oposición.
La
NO notificación de un fichero, supone una sanción
que puede ir de leve a grave dependiendo del caso.
El
acceso al registro (RGPD) es público y gratuito.
Requisitos
Ámbito Privado
Se pueden crear ficheros
privados que tengan datos personales cuando resulten necesarios para
realizar una actividad u objeto legítimo y se respeten las
garantían indicadas en la LOPD.
Requisitos
Ámbito Público:
La
creación, modificación o supresión de
los ficheros de las Administraciones Públicas
sólo podrán hacerse mediante
disposición general publicada en el BOE o diario oficial
correspondiente. La disposición obliga a que la
disposición describa detalladamente
identificación, origen, transferencias internacionales,
órganos responsables y otra serie de informaciones.
Un
fichero es “todo conjunto organizado de datos de
carácter personal, cualquiera que fuera la forma o modalidad
de su creación, almacenamiento, organización y
acceso”.
Existen dos tipologías
de ficheros:
- Fichero no automatizado (papel):
fichero de datos personales organizado de forma no automatizada, y
estructurado conforme a criterios específicos relativos a
personas físicas, y que permiten acceder sin esfuerzos
desproporcionados a dichos datos. - Fichero automatizado
Recogida
datos. Obligación de informar
A la hora
de recoger
datos personales, se debe informar a los afectados,
indicándoles:
- Para
qué se utilizaran los datos - Informando
del fichero y de sus tratamientos - Indicando el
responsable del fichero y su
dirección o la de su representante. - Los
destinatarios de la información (en su caso) - Del
carácter obligatorio u opcional de la
inscripción en el mismo para la prestación del
servicio - De las
consecuencias de lo obtención de los datos o de la negativa
a suministrarlos - De
la posibilidad de ejercitar los derechos de acceso,
rectificación, cancelación y oposición.
La
ley exime del deber de informar sobre algunos los aspectos anteriores
cuando se deduzcan de la naturaleza de los propios datos personales y
de las circunstancias en las que se realiza la recogida de los mismos.
Esta
información debe incluirse en los formularios de recogida de
los datos
Toda persona tiene derecho a saber si sus
datos personales van a incluirse en un fichero y qué
tratamientos se realizarán con los mismos.
En
el caso de que los datos personales no se hubieran recogido
directamente del interesado, el responsable del fichero debe informarle
de la recogida de los mismos en el plazo de 3 meses siguientes al
registro de los datos, excepto si ya hubiera sido informado con
anterioridad.
El incumplimiento del deber de
informar está tipificado como falta leve.
En
los siguientes casos no es necesario el consentimiento de la persona:
- Si el tratamiento tiene por objeto la satisfacción
de un interés legítimo del responsable, y lo
autoriza una norma con rango de Ley o una norma de derecho, y siempre
que no prevalezca el interés o los derechos y libertadas
fundamentales de los interesados previstos en el artículo 1
de la LOPD, o cuando sea necesario para que el responsable del
tratamiento pueda cumplir un deber que le imponga una de dichas normas. - Si el tratamiento es necesario para el cumplimiento de un
contrato o precontrato de una relación de negocios, laboral
o administrativa, y los datos se refieren a las partes. - Si el tratamiento es necesario para proteger un
interés vital del interesado o de otra persona, en el
supuesto de que el afectado esté física o
jurídicamente incapacitado para dar su consentimiento, y el
tratamiento de los datos es necesario para la prestación de
un servicio médico. - Si el tratamiento es necesario para cumplir las funciones de
las Administraciones Públicas dentro de sus competencias. - Cuando la Ley habilite el tratamiento sin requerir el
consentimiento del titular. - Cuando los datos figuren en fuentes de acceso
público, y su tratamiento sea necesario por el responsable
del fichero con interés legítimo o para un
tercero a quien se comuniquen los datos.
La Ley
especifica que debe haber un consentimiento expreso y escrito para el
tratamiento de datos especiales: de ideología,
religión, creencias y afiliación sindical. La
Ley especifica que debe haber un consentimiento expreso pero no
necesariamente escrito para el tratamiento de datos de relacionados con
la salud, el origen racial y la vida sexual.
No se permite la
creación de ficheros con el único fin de
almacenar datos personales de los anteriormente citados,
sólo si es necesario para el diagnóstico
médico o asistencia sanitaria. Se excluyen de tal
prohibición: los partidos políticos, sindicatos,
iglesias, etc.
El consentimiento puede ser tácito,
en el tratamiento de los datos que no sean especialmente protegidos,
dando al afectado 30 días para manifestar su negativa al
tratamiento, y advirtiendo que en caso de no pronunciarse al respecto,
se entenderá que consiente el tratamiento de sus datos. El
afectado dispondrá de un medio sencillo y gratuito para
manifestar su negativa (carta prefranqueada, numero teléfono
gratuito o servicios atención públicos). No se
podrá volver a solicitar el consentimiento para los mismos
fines y tratamientos hasta no pasar 1 año.
Un
ejemplo de consentimiento específico se da en el caso del
envío de comunicaciones comerciales realizadas a
través de medios electrónicos (e-mail, sms, etc.)
regulados por la LSSI. Este tipo de comunicaciones sólo
podrá realizarse cuando hubieran sido solicitadas o
expresamente autorizadas por los destinatarios de las mismas.
También pueden realizarse cuando exista una
relación contractual previa y se tuviesen los datos de
contacto de forma lícita, y se empleen para el
envío de comunicaciones relativas a productos/servicios de
la misma empresa similares a los inicialmente contratados. Sin embargo,
se debe ofrecer al destinatario la posibilidad de oponerse al
envío mediante procedimiento sencillo y gratuito.
El
tratamiento de datos sin consentimiento previo puede ser motivo de
falta leve o grave según el caso.
Plazos
de los derechos gratuitos que puede ejercer un titular:
- Derecho de acceso: solicitar y obtener información
de sus datos personales y los tratamientos de los mismos - Plazo de Contestación: 1 mes desde la solicitud
- Acceso: 10 días desde la notificación
de estimación de la solicitud. - Derecho de rectificación: Actualizar sus datos si
son inexactos o incompletos - Plazo: 10 días
- Derecho de cancelación: Borrados de sus datos si
son inexactos o tratados ilegalmente (produce un bloqueo o un borrado
físico según la legislación). - Plazo: 10 días
- Derecho de oposición: Negarse al tratamiento de
sus datos. - Plazo: 1 mes
Medidas
de Seguridad
La LOPD indica que se deben adoptar las medidas
técnicas necesarias para garantizar la seguridad de los
datos personales, y evitar su alteración,
pérdida, tratamiento o acceso no autorizado. Las medidas se
aplicarán a ficheros y tratamientos (tanto automatizados
como no automatizados), y al responsable del fichero y al encargado del
tratamiento.
El artículo 9 de la LOPD condiciona
las medidas al estado de la tecnología, la naturaleza de los
datos y los riesgos a los que estén expuestos.
Se
fijan tres niveles de seguridad:
- Nivel Alto: Ficheros o tratamientos relativos a datos
especiales (ideología, afiliación sindical,
salud, etc.), o relativos a fines policiales, o datos derivados de
actos de violencia de género. Los ficheros con datos de
nivel alto deben estar cifrado si se encuentran en dispositivos
portátiles. - Nivel
Medio: Ficheros o tratamientos relativos a la comisión de
infracciones, Ficheros para la prestación de
servicios financieros (bancos), ficheros de las agencias tributarias
(Hacienda), ficheros de la Seguridad Social, ficheros de las operadoras
de Telecomunicaciones, ficheros con datos personales que permitan
definir las características de los ciudadanos. - Nivel Básico: todos los ficheros que tenga datos
personales.
En caso de ficheros con datos
especialmente protegidos, será suficiente la
implantación de medidas de nivel básico cuando:
- Los datos se utilicen sólo para realizar una
transferencia dineraria a las entidades de las que el afectado sea
miembro. - O se trate de
ficheros no automatizados en los que de forma puntual estén
dichos datos sin guardar relación con su finalidad - O se trate de ficheros con datos relativos a la salud,
indicando únicamente el grado de discapacidad, con objeto
del cumplimiento de deberes públicos.
El
responsable del fichero debe crear un documento de seguridad y debe
informar a todos los implicados de las normas de seguridad indicadas en
el documento y velar por su respeto.
- Debe guardarse secreto profesional sobre los datos personales
a los que se tenga acceso.
Los productos de software
destinados al tratamiento de datos personales deben incluir en su
descripción el nivel de seguridad.
Sanciones
- Infracciones leves: De 601,01 a 60.101,21 euros
- Infracciones graves: De 60.101,211 a 300.506,05 euros
- Infracciones muy graves: De 300.506,05 a 601.012,10 euros
La
cuantía de la sanción será gradual en
función de los datos afectos, los derechos violados, el
volumen de los mismos, los beneficios obtenidos, la
intención, reincidencia, daños y perjuicios, etc.
Deber
de colaborar con la AEPD
- La
AEPD puede requerir la adopción de las medidas necesarias
para adecuar los tratamientos a la LOPD - Ordenar el cese de los tratamientos y cancelación
de los ficheros, cuando no se ajusten a las disposiciones de la LOPD - La AEPD puede solicitar ayuda e información para
el desempeño de sus funciones: envío de
documentos, datos, y examinarlos en las instalaciones donde
están depositados, inspeccionar los equipos
físicos y lógicos, etc. - El procedimiento consta de una Fase de Inspección
y una Fase de Instrucción, existiendo un plazo de hasta 12
meses desde una posible denuncia. - Podrá realizar actuaciones presenciales y sin
previo aviso.
Para la notificación de
ficheros, existe el sistema NOTA:
- Formulario electrónico PDF
- Ficheros tipo: Existen ficheros de comunidades de
propietarios, nóminas, RRHH, clientes y/o proveedores,
gestión escolar, pacientes, agendas, nóminas,
alumnos, etc. - Permite firma
electrónica o presentación con firma manuscrita. - Interfaz XML: utilizando certificado o sin certificado.
Respuestas
a preguntas frecuentes
Este es un listado de casos
típicos en los que dudamos si se debe o no registrar:
- Los ficheros con datos de los empleados deben registrarse (si
tienen datos personales privados, DNI, etc.) - El directorio simple de empleados no debe registrarse
(sólo nombre, apellidos, y datos de contacto profesionales). - Los ficheros de los colegios profesionales, deben registrarse.
- La cesión de datos personales para el desarrollo
de un servicio al interesado a un tercero es una cesión de
datos legítima. Ej: cesión de datos
básicos de un empleado a un Administrativo o a un Banco para
realizar el pago de nómina del empleado. - Los formularios vía Web deben tener una
política de privacidad, y debe garantizarse la lectura
previa de dicha política. - Se debe modificar el registro de los ficheros actuales:
sí, si son Mixtos (automatizados y no automatizados) - No se deben registrar ficheros de facturación y de
contabilidad - Si un fichero de
datos personales lleva DNI o NIF, se debe registrar - Los ficheros que con el RDLOPD son excepciones y no es
necesario registrar, deben suprimirse del registro (cancelarse) si
estaban previamente registrados - Los ficheros temporales, resultado de un tratamiento puntual,
no deben registrarse, pero sí adoptar las medidas de
seguridad equivalentes - Los
ficheros para tratamiento periódicos aunque
esporádicos, sí deben registrarse. - Un fichero con datos sobre nómina y datos de salud
básicos (% discapacidad, etc.) tendrá un nivel
básico de seguridad - Si un fichero tiene varios responsables, será
necesario implantar un control de accesos para impedir accesos cruzados. - Se consideran datos de salud pero con nivel básico
de seguridad a: %discapacidad, descripción básica
de la discapacidad o invalidez, criterio de apto/no apto. Si se incluye
la causa de la discapacidad, entonces tendrá nivel alto.
Conclusiones
Al
tratarse de leyes, son de obligado cumplimiento, y por eso las empresas
(tanto del sector como de otros) deben conocer las implicaciones de las
mismas. En caso de duda, lo mejor es contactar con un especialista.
Existen para ello numerosas asesorías jurídicas
especializadas, y muchas empresas de hosting ya tienen servicios que
ofertan en conjunto con asesorías.
Espero que este
documento sirva como pequeño resumen sobre las implicaciones
del Reglamento de Desarrollo de la LOPD, y como punto de entrada para
buscar información más detallada sobre la LOPD y
el desarrollo de la misma.
Referencias
La
LOPD, Ley orgánica 15/1999, de 13 de diciembre (1999):
PDF:
http://www.msc.es/organizacion/sns/planCalidadSNS/pdf/transparencia/LOPD19992.pdf
http://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Ley%2015_99.pdf
HTML:
http://noticias.juridicas.com/base_datos/Admin/lo15-1999.html
La
LSSI, Ley 34/2002, de 11 de julio (2002), http://www.lssi.es
PDF:
http://www.lssi.es/NR/rdonlyres/E2E98F45-182D-4536-A412-3616D8D813D6/0/ltriptico.pdf
http://www.boe.es/boe/dias/2002/07/12/pdfs/A25388-25403.pdf
HTML: http://noticias.juridicas.com/base_datos/Admin/l34-2002.html
La
LGT, Ley 32/2003, de 3 de noviembre (2003)
PDF:
http://www.mityc.es/NR/rdonlyres/469CFAC8-41E5-41AC-86B6-91E4B7660640/0/LGT_32_2003.pdf
HTML:
http://www.mityc.es/setsi/legisla/teleco/lgt32_03/indice.htm
http://noticias.juridicas.com/base_datos/Admin/l32-2003.html
RDLOPD.
de 21 de Diciembre de 2007
PDF:
https://www.boe.es/buscar/pdf/2008/BOE-A-2008-979-consolidado.pdf
HTML:
http://noticias.juridicas.com/base_datos/Admin/rd1720-2007.html
AGPD
AGPD (Comunidad de Madrid)
http://www.madrid.org/cs/Satellite?pagename=APDCM/Page/homeAPDCM
Consulta
de ficheros inscritos en la AGPD
https://www.agpd.es/portalweb/ficheros_inscritos/titularidad_privada/index-ides-idphp.php
Otros
enlaces de interés
http://es.wikipedia.org/wiki/Ley_Org%C3%A1nica_de_Protecci%C3%B3n_de_Datos_de_Car%C3%A1cter_Personal_de_Espa%C3%B1a
http://es.wikipedia.org/wiki/Leyes_de_Espa%C3%B1a_sobre_privacidad
Ejemplo
con información sobre las implicaciones de la LOPD para los
proveedores de servicio de HOSTING (e.g.: Acens):
http://www.acens.com/corporativo/informacion-sobre-la-lopd.html
¿ Es obligada la contratación de una consultoria una vez dado de alta en los ficheros de la agpd ?